WebSphere SPNEGO - Невозможно получить учетные данные из темы JAAS для принципала

ПРОБЛЕМА

Я получаю сообщение об ошибке при попытке включить SPNEGO на сервере приложений WebSphere (WAS ND, одиночный узел) 9.0.0.7. Я преуспел на другом сервере, но для этого я не могу найти проблему.

Я получаю следующее сообщение об ошибке:

org.ietf.jgss.GSSException, major code: 13, minor code: 0 major string: Invalid credentials minor string: Cannot get credential from JAAS Subject for principal: HTTP/server.aa.bbb.ccc@DDDDDDD.BBB.CCC

И из файла трассировки:

javax.security.auth.login.FailedLoginException: Cannot retrieve key from keytab HTTP/server.aa.bbb.ccc@DDDDDDD.BBB.CCC

КОНФИГУРАЦИЯ

1. На контроллере домена: setspn -A HTTP / server.aa.bbb.ccc AD-ACCOUNT-1
2. ktpass -out AD-ACCOUNT-1.keytab -princ (скрытый) -mapuser AD-ACCOUNT-1 -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL / pass
3. WAS успешно настроен с подключением LDAP с использованием пользователя AD-ACCOUNT-1 .
4. Keytab хранится как / app / sysx / WebSphere / AppServer /AD-ACCOUNT-1.keytab
5. $AdminTask createKrbConfigFile {-krbPath /app/sysx/WebSphere/AppServer/profiles/InfoSphere/krb5.conf -realm DDDDDDDBBB.CCC -kdcHostddddbddddddddcdcddddddd .bbb.ccc -keytabPath /app/sysx/WebSphere/AppServer/AD-ACCOUNT-1.keytab -encryption aes256-cts-hmac-sha1-96}
6. Веб-консоль администратора WAS: Глобальная безопасность> Веб-аутентификация SPNEGO
   7. Файл конфигурации Kerberos: /app/sysx/WebSphere/AppServer/profiles/InfoSphere/krb5.conf
   8. Keytab: /app/sysx/WebSphere/AppServer/AD-ACCOUNT-1.keytab
   9. Фильтр SPNEGO: Имя хоста: server.aa.bbb.ccc Имя области Kerberos: DDDDDDD.BBB.CCC Критерии фильтрации: URL-адрес запроса ^ = ibm / iis / igc / services | ibm / iis / igc / secure | ibm / iis / igc-rest; request-url! = noSPNEGO Обрезка: Проверено

Я попытался добавить все псевдонимы в / etc / hosts на основе аналогичных случаев, которые я нашел в Интернете, но это не помогло.